Problema con gestión de sesiones en TPV de SERMEPA

Hola a todos,
llevo unos días comiendome la cabeza por culpa de un problema con el funcionamiento de las sesiones de mi sitio web a la hora de pagar con tarjeta a través del TPV de SERMEPA (supongo que alguno lo conocerá)
Explico un poco el problema:

1)
Llamo al TPV de SERMEPA desde la página paymentoptions.php, donde tengo activa la sesión del cliente con datos como:
$_SESSION["sess_userid"]
$_SESSION['sess_totale']
$_SESSION["sessBillingFirstName"]
$_SESSION["sessBillingAddress1"]
etc...

2)
Después de que el TPV de SERMEPA apruebe el pago con la tarjeta del cliente, me devuelve todos los detalles del pago a la página respuesta_tarjeta.php (que no se muestra al cliente), desde donde se debería actualizar la base de datos con la información referente al pedido, detalles del pedido, etc...

Aquí os pongo la info que le paso al TPV para las variables que representan la pagina de tratamiento de la respuesta del TPV y la pagina que visualiza que el TPV ha autorizado la compra.
Ds_Merchant_MerchantURL" value='MI_TIENDA/respuesta_tarjeta.php';
Ds_Merchant_UrlOK" value='MI_TIENDA/autorizada.php';


Problema: Toda la sesión que tenía creada con los datos del cliente no está "accesible" desde respuesta_tarjeta.php !!!!.
Por culpa de esto, los datos del pedido no se almacenan en la base de datos...

¿Puede alguién echarme una manita, please?
Muchas gracias de antemano.

ahhh, se me olvidaba decir que, al comienzo de cada pagina, tengo un

include "includes/session.php";

donde lo primero que hace es

session_start();

No sé si esto influye en algo, porque también lo tengo en el resto de páginas y sí que puedo recuperar la info de la sesión del cliente.

Gracias de nuevo

Lo estas usando con oscommerce? o una aplicación propia?

Naturalmente: la sesión sólo sirve para tu cliente.

Cuando sermepa te haga el "POST", te pasará el ID de la transacción. Antes de darle el control a sermepa, deberías haberte guardado toda la información relativa a tu transacción en un medio persistente (una base de datos?), y dejas el pedido en base de datos con un campo estado "pendiente". Luego sermepa te hará la confirmación fuera de línea (la que no ve tu cliente) con los datos de tu transacción (ID, autorización, etc)... pero no los datos del "pedido", esos tienes que tenerlos tú guardados, y tienes que ser capaz de recuperarlos a partir del ID que te pase sermepa.

A continuación compruebas que la firma que te pasa Sermepa es correcta, y das por correcta / cancelada la transacción (dependiendo del estado que te pase Sermepa) en tu base de datos.

Muchas gracias por vuestras respuestas!!!
Se trata de una aplicación propia.
Y efectivamente, al final lo he resuelto utilizando una tabla "intermedia" en la que almaceno toda la info sobre el intento del pedido, antes de hacer la peticion al TPV virtual.
Luego la recupero a partir del ID del pedido que me devuelve el TPV, y actualizo la tabla de pedidos confirmados.

Gracias de nuevo, flozanol !!

Esto no se puede hackear poniendo la pagina

Ds_Merchant_UrlOK" value='MI_TIENDA/autorizada.php';

directamente?

A mi me ha salido este mismo problema pero se me ocurre que yendo a autrizada.php pudieran confirmar un pedido sin haberlo pagado todavia. Decirme si estoy en lo cierto o por el contrario hay algo que se me escapa